C'est ce que j'avais dis dans la news!

Le mode de fonctionnement est :
-Soit on est pas en "Expert" alors il faut renseigner le "code de securité" dans les options, pour pouvoir verifier qu'il est correcte. Toutes les options/creations sont accessibles uniquement lorsque le bon "code de sécurité" est entré!

-Soit on passe en mode "Expert", et là toutes les options/creations sont disponibles!

 


P.S. : Il n'est pas dangereux de renseigner le "code de securité" dans les options, car je stock uniquement son MD5. L'algo de cryptage/decryptage n'utilise pas le MD5 du "code de sécurité"!
Donc même si l'on connait le MD5 du "code de sécurité", cela ne permet pas de decoder les données!

Bon, ok! un MD5 etait un peu bourrin....
Bon, du coup j'utilise la date et l'heure d'inscription! Sans le mot "User", j'aime pas!

Ex :
Une inscription faite le 5 juillet 2006 à 18h39m15s aura comme nom d'utilisateur pour le forum : 60705183915
 

Et j'ai rajouté un test lors de la modification du nom et aussi pour l'email (l'email etait testé lors de l'inscription mais pas apres....)

Ha! Ben voilà! Dis comme ça!....
Bon, j'ai donc rajouté un champ dans "Mon Compte" de SSOFast pour modifier le nom d'affichage du Forum!

Par contre, je fais un test ou pas, pour savoir si le nom est déjà utilisé ou pas?
Parce que pour l'instant on peut modifier son "nom d'affichage" et avoir le même qu'un autre....

P.S.: pour obliger les utilisateurs à choisir un nom pour le forum, lors de l'inscription, par defaut c'est le MD5 du nom qui est utilisé!
ex : f71dbe52628a3f83a77ab494817525c6

ou alors, je rajoute un champ lors de l'inscription mais j'vais manquer de place.....

De plus, sur la page de connection, au bout de 3 erreures consecutives, la page d'oublie de mot de passe s'affiche!
Et au bout de 10 erreures consecutives, le compte de l'utilisateur est desactivé!

Donc, une brute force ne peut pas fonctionner pour trouver le mot de passe de connection!


D'ailleur, pour ce system, j'avais pensée a autre chose:
Actuellement :
-3 erreures -> demande email (oublie de mot de passe)
-10 erreures -> desactivation du compte

Ce que j'ai pensé etait:
-3 erreures -> demande email
-10 erreures -> reinitialisation du mot de passe avec envoie d'un email à l'utilisateur (comme avant mais on ne demande pas, on l'oblige à le faire)
-13 erreures -> desactivation du compte

 

Effectivement, on peut connaitre le nom d'utilisateur de SSOFast, mais pas son "mot de passe" de connection ni son "code de securité"
Donc, pour un mechant qui voudrait acceder au données securisées, il devra utiliser 2 fois une brute force.
C'est pour cela qu'il vaut mieux utiliser un "code de securité" très difficile à trouver et assez long pour qu'avec une brute force, cela soit impossible a trouver!

Par exemple, moi, je peut avoir acces a tous vos liens, mais comme je ne connais pas votre "code de securité", cela ne me sert à rien! Je ne peut pas decoder vos données!

Sinon, comment attribuer un nom d'utilisateur pour le forum qui soit different de celui de SSOFast?
Il ne faut pas que ce soit l'utilisateur qui le choisisse, sinon il pourrait utiliser le nom qu'un autre utilisateur aurait voulu!

Ex : "iop" de (SSOFast) choisi le nom "Nico" pour le (Forum)
maintenant "Nico" de (SSOFast) doit absolument utiliser un autre nom pour le (Forum) que "Nico"...

Au pire, pour compliquer un peu, je peut utiliser le nom d'utilisateur de SSOFast mais en majuscule pour le forum (ou en minuscule)!

 

Ha! Ben, j'viens de m'apercevoir que la detection ne se lancait pas...
Je regarde ce qu'il se passe!!!

Pour www.riya.com et www.box.net je les ai rajoutés manuellement! Ca fonctionne maintenant!
Il faut utiliser l'url de la page de connection qui est : http://www.riya.com/login et http://www.box.net

 

Bon, pour finir avec le "code de securité", j'ai fait en sort que si le "code de securité" n'est pas valide alors il est impossible de valider le lien!

Pour ceux qui veulent quand même valider un lien (par exemple avec un code de securité different) il y a l'option "Mode expert" a activer dans "Mon Compte"!

 

A oui, j'avais oublié de specifier comme indiquer son "code de securité" dans les "options"...
Merci Nico!

Bon, comme cette options n'est pas obligatoire, mais juste une indication, j'ai desactivé l'affichage de la comparaison des codes si il n'y en a pas de specifié dans les options!


P.S.: je viens de verifier et il est impossible de modifier le script de decryptage du "nom d'utilisateur"/"mot de passe" pour utiliser le "code de securité" de comparaison (qui se trouve dans un cookie) pour ceux qui voudraient essayer des pirater les liens...
Donc, on peut indiquer son "code de securité" dans les "options" en toute securité!

J'ai mis en place la nouvelle version de SSOFast, l'ancienne version est toujours disponible ici : http://www.ssofast.com/index1.php

Changements:

-Nouveau systeme d'affichage des liens/repertoires, plus rapide...

-Ajout d'un champs lors de l'inscription pour stocker (en crypté) le "code de securite" ainsi que dans les "options" qui permet de verifier si le code de decryptage est le bon (compare les 2 valeurs crypté)

-changement de version des librairies javascript pour le DragAndDrop pour integrer (bientôt) la gestion des sous-repertoires!

-Compteur de liens dans le titre

-Options des liens/repertoires revus (interdiction de modifier un lien sans "code de securité" présent)

Bugs:

Faut que je corrige le ptit bug d'affichage des repertoires sous I.E.

Le probleme de Netvibes est qu'il envoie les données au server en AJAX, faut que je regarde si on ne peut pas lui envoyer les mêmes données...

Pour Riya c'est qu'ils utilisent du javascript lors du click sur le bouton de connection, j'ai pas encore regardé le script (ils doivent surement crypter le mot de passe avant de l'envoyer) mais on doit pouvoir faire facilement la même chose!

Bon, faut que je bosse sur la recuperation des formulaires pour y integrer les fonctions javascript appelé par ces formulaires...
Ca doit être faisable aussi...

Pour yahoo, le probleme est que lors de la 1ere connection ils crées un cookie de session, qui n'est pas supprimé lors de la fermeture de l'onglé sous FireFox
Pour se reconnecter, il suffit de fermer FireFox et de le relancer...(ou de supprimer le cookie de yahoo)

Ben, en fait, ton idée me plait bien...
C'est vrai que ça simplifie beaucoup le code!
Et puis si y'a que moi qui utilise des clef differentes c'est pas bien grave!

Bon, etant donné que je dois refaire le code, si y'a d'autres "grosses" modifs a faire, faut profiter!

Effectivement, cette page ne possede pas de formulaire ecrit en HTML...
Le formulaire de connection est geré en Javascript, ce qui empeche sa detection par SSOFast!

Du coup, j'ai rajouté manuellement ce forumulaire dans la base, pour l'url http://mail.voila.fr ou http://mail1.voila.fr/webmail/fr_FR/login.html ou http://mail2.voila.fr/webmail/fr_FR/login.html

Et du coup, pour tester si ça fonctionne, j'ai un compte chez voila.....

L'auto-login ne marche pas systématiquement....
Le probleme est que je n'arrive pas a reproduire le probleme...
La plupart du temps, je me delogue et je me relogue, et hop le probleme n'est plus la 

J'ai aussi constaté ce bug!!!
J'avais repondu à ce post en croyant que c'etait un probleme de cache memoire vive, mais cela me l'a fait aussi alors que je venais tout juste de lancer Firefox, inscrire ma clef de decryptage et cliquer sur un 1er lien....

Donc faut que je cherche ailleur! Peut-etre que ce bug ce produit si l'on click sur un lien alors que la page ne c'est pas encore chargé completement!
Mais pour l'instant, je n'arrive pas à reproduire ce bug, qui existe aussi sous I.E.!

  J'ai dormis!

4h mais j'ai dormis!

Y'en a qui bossent le samedi......